神秘黑客组织 “ 影子经纪人 ” 于今年 4 月披露 SMB 协议漏洞后不久，多个黑客组织就已利用该漏洞展开大规模网络攻击活动，其 5 月利用该漏洞爆发的 WannaCry 勒索软件攻击事件造成逾 150 个国家的 30 多万用户遭受影响。随后，该黑客组织于 6 月声称，每月将向付费订阅的 “ Wine of Month Club ” 私人会员出售 NSA 新零日漏洞与黑客工具。然而，购买这些恶意代码的客户仅需向 z_address 支付 100 Zcash（ 约 21,519 美元 ）就会收到相关资料。 HackerNews.cc  9 月 6 日消息，“ 影子经纪人” 近期宣称每月将定期披露两批 NSA 黑客工具，其要价与起初的 100 Zcash 相比大幅增加，即要求近 400 万美元且仅接受 ZCash 支付。非营利组织 GDI 基金会的安全研究人员 Rickey Gevers 表示，该黑客组织泄露的 NSA 漏洞手册 “ UNITEDRAKE ”，旨在针对 Windows 目标系统进行远程扩展收集。 根据前 NSA 雇员斯诺登泄漏的文件显示，UNITEDRAKE 手册为 NSA 精英黑客量身定制的入侵手段。 卡巴斯基 2011 年的一份报告显示，UNITEDRAKE 手册被识别为 NSA “方程式组织 ”主要间谍工具平台。据悉，尽管 “ 影子经纪人 ” 声称从每月的转储中获得了约 9 万美元收入，但安全专家对该组织的动机表示怀疑。 目前，研究人员尚不清楚 “影子经纪人” 如何获取这些黑客工具，但美国当局正调查那些可能与黑客组织有联系的前内部人员，因为美国当局怀疑黑客工具可能是心怀不满的前 NSA 特工窃取并泄露。然而，最新消息表明，“影子经纪人” 仍在逃避当局监管。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，依靠万事达卡互联网网关服务（ MIGS ）处理在线支付的供应商，应在每次交易发货之前对每个交易进行双重检查，因为安全研究人员 Yohanes Nugroho 近期在 MIGS 协议中发现了一处明显漏洞，允许黑客通过无效付款手段欺骗支付系统并误导商家认为交易成功。 Yohanes Nugroho 认为安全系统的验证协议存在严重缺陷，而万事达卡（Mastercard）似乎完全忽视了这一问题。Yohanes Nugroho 解释说：“这可以说是一个 MIGS 客户端错误，但是 Mastercard 选择的哈希方法允许这样做。如果 Mastercard 选择加密相关数据，这个问题是不可能发生的 ”。 根据 Nugroho 的调查结果，狡猾的攻击者可以利用这个缺点，在第三方中间支付服务中注入无效值，以便绕过 Mastercard 的系统，直接将请求转交给供应商。 正如 Yohanes Nugroho 观察到的那样，交易是否成功的数据不仅没有被 MIGS 服务器进行验证，而且甚至没有到达商家服务器端，这些请求仅在客户端进行检查。由于这些数据永远不会到达 Mastercard 的服务器，所以仍然容易受到欺骗。这意味着，如果成功，黑客将能够通过无效付款交易作为绝对合法证明。虽然商家仍然需要确认交易，但大多数商家在批准请求之前很少检查其银行帐户，这正是为什么这个漏洞是如此令人担忧的原因。 稿源：cnBeta，封面源自网络；

据外媒 CNET 报道，Facebook 正深入挖掘俄罗斯干预美国总统大选的可能性。9 月 6 日，这家公司表示，他们曾在美国大选期间跟俄罗斯存有关联的虚假账号出售价值 10 万美元的广告。该批广告付费支出时间跨度为 2015 年 6 月至 2017 年 5 月，而该期间发布的广告数量逾 3000 个。 Facebook 首席安全管理 Alex Stamos 指出，经过他们的分析发现，这些账号和 Pages 之间彼此关联，很有可能是俄罗斯那边在运营。针对这一发现，Facebook 表示将会继续展开调查，现在他们将最新的调查结果上报美国当局。 据了解，大多数广告和账号都没有明确地发布跟当时的总统竞选人–唐纳德·特朗普、希拉里·克林顿相关的内容，相反，它们将关注点放在了大热的政治话题，诸如 LGBT 问题、移民问题、枪支问题等。最新公布的信息表明了扎克伯格在美总统大选之后的首次态度转变，此前他曾明确表示，Facebook 影响大选是一个“疯狂的想法”。 稿源：cnBeta，封面源自网络；

据外媒报道，周三在社交媒体上出现了一些针对苹果开发者网站的投诉，一些开发账户地址被更改为同一俄罗斯地址，从而引发人们猜测该网站可能存在某种安全漏洞或遭黑客攻击。 一位名叫 David Negron 的开发人员（自称是 Productiontrax.com 的创始人）首先注意到这个问题，他发表推文称：“ 所有开发者的帐户地址都被显示为俄罗斯的一个地址。” 另一位开发人员 @Kaiusee 发表推文称，他检查了四个不同的苹果开发者帐户，发现所有账户都显示了相同的地址：“ bul. Novatorov, Saint-Petesburg, Leningrad, 198216, Russian Federation。” 目前，尚不清楚是否存在某种内部错误，还是受到黑客攻击。苹果开发者网站在几个小时无法访问后恢复正常。 稿源：cnBeta，封面源自网络；

教育部财务司副司长赵建军于 9 月 6 日在教育部新闻发布会上表示，根据规范校园贷管理文件，任何网络贷款机构都不允许向在校大学生发放贷款。为了满足学生金融消费的需要，鼓励正规的商业银行开办针对大学生的小额信用贷款。 记者问道：近两年，部分大学生因为高消费陷入校园贷的泥潭，甚至有学生因此而自杀，教育部对于这种学生的消费情况和现在存在的问题有没有一个解决的办法？ 赵建军首先解答了学生为什么借了钱后会陷入校园贷。因为未来要偿还的利息很高，为什么有这么高的利息学生还要去借这个贷款呢？是因为很多所谓的网络平台机构，在宣传方面做了不诚实的宣传、虚假的宣传，告诉学生这个贷款很方便，很便宜。学生在这种情况下，由于金融知识还不是很丰富，去借了贷款，最终成了高利贷，利滚利，有的学生到了还不起的状态。社会上不良的网贷机构，虚假宣传，引诱学生，造成这种现象。 赵建军透露，去年以来教育部和国务院有关部门，主要是银监会、公安部、网信办、工商总局几个部门联合出台了很多措施、很多文件来治理校园贷的问题。尤其是今年初，上半年教育部和银监会、人力资源部联合印发了规范校园贷管理的文件，这个文件明确取缔校园贷款这个业务，任何网络贷款机构都不允许向在校大学生发放贷款。 赵建军表示，为了满足学生金融消费的需要，鼓励正规的商业银行开办针对大学生的小额信用贷款。目前，不少银行已经开办了这项业务，像中国银行、建设银行等。同时，教育部还要求各高校要认真做好学生的教育，加强对学生金融知识的教育，加强不良校园贷的警示教育，引导学生不要上当受骗。 稿源：cnBeta、中新网，封面源自网络；

据《大西洋月刊》发布文章称，印度最大的生物识别数据库 Aadhaar 近期引发隐私战。作为该国的生物识别身份项目，Aadhaar 的初衷是帮助政府解决诸多的社会问题，简化政府服务提供流程，但它的实际效果并不理想，非但没有帮助政府本想帮助的众多群体，还爆发了多起信息泄露事件，让本已弱势的人受到更大的伤害。 2009 年，印度政府启动一个后来成为全球第一大生物识别数据库的新身份项目，当时该举在国外并未引起关注。该项目名为 Aadhaar，收集超过 10 亿人口的姓名、地址、手机号以及可能更为重要的指纹、相片和虹膜扫描。在这一过程中，Aadhaar 渗透到印度人们日常生活的每一个方面，从学校上学到医院看病，再到银行获得金融服务。它可谓打开了规模前所未见的数据收集的路径。 印度政府认为 Aadhaar 是解决诸多社会问题的重要解决方案，但在评论家眼里，它则是向国家实施监控迈出的一步。如今，Aadhaar 实验面临着来自印度最高法院的严重威胁——一个可能关乎其存亡的威胁。8 月末，印度最高法院作出一项一致性判定，首次在印度宪法中认定隐私的基本权利。该判定备受 Aadhaar 反对者的拥护，他们认为该项目与该新授予的权利背道而驰。不久以后，最高法院将会聚焦该问题，如果他们发现 Aadhaar 违反隐私权，那么立法委员将需要重新考虑整个项目。但如果最高法院裁定该项目符合宪法，那本已经受困于眼界和野心的 Aadhaar 将会继续发展下去。 Aadhaar 项目向所有的印度居民开放，一开始是自愿参与，仅提供少数的一些政府补助，其中包括食物补助和用于做饭做菜的液化石油气补助。它瞄准的是那些最需要这些资源的人群，尤其是那些因为没有官方身份证而无法开银行账户或者参与原来的福利项目的农村居民。 不过，该项目渐渐偏离了使命。在外包公司 Infosys 联合创始人南丹·尼勒卡尼（Nandan Nilekani）的领导下，Aadhaar 被用来将由数据驱动的改进应用于各类公共和私营行业服务。印度议会成员杰伦·兰密施（Jairam Ramesh）讽刺该项目是“强制性自愿参加”。目前，该项目已经出现大量个人隐私信息遭滥用的证据。过去几个月备受关注的案例常常见诸报端： 210 家政府机构公开福利受益人的全名、地址和 Aadhaar 号码；1.1 亿用户的 Aadhaar 信息从电信公司 Reliance Jio 外泄（该公司声称那些外泄数据是不真实的）；超过 1 亿人的银行账户和 Aadhaar 细节信息通过特定的公开政府门户被泄露；政府的电子医院数据库被入侵，Aadhaar 机密信息遭访问。 对此，自由软件法律中心法务总监米什·乔杜里（Mishi Choudhary）不感到意外。他指出，“我们正处在一个科技以几乎一模一样的方式席卷整个地球的阶段。很多国家都在相互参考，以获得如何调整它们的法律体系适应现代世界的指引 ”。 稿源：cnBeta、网易科技，内容有删减；封面源自网络。

据路透社报道，德国保守派基督教民主联盟（CDU）副主席 Julia Kloeckner 于本周一（ 9 月 4 日）发表声明，宣称在保守派领导人安吉拉·默克尔（Angela Merkel）与社民党主席马丁·舒尔茨（Martin Schulz）进行电视竞选辩论之前，德国竞选网站遭受了 3000 余次网络攻击，其中多数 IP 地址来自俄罗斯，而保守派在莱茵兰普拉尔塞州的总部之后也遭受了大规模网络攻击。 目前，Kloeckner 尚未详细说明此次网络攻击类型，也并未透露该攻击活动如何发现。不过，德国政府官员与情报机构此前曾警告称，俄罗斯极有可能设法干预 9 月 24 日即将举行的德国大选，而默克尔预计将在第四任期内获胜。 此外，德国内政部长 Thomas De Maiziere 曾于 7 月 4 日在新闻发布会上警示，德国议会在 2015 年被俄罗斯黑客窃取的机密文件与数据可能在选举前在线曝光，旨在削弱民主、立法者与政府官员的权威。德国 BfV 情报机构负责人 Hans-Georg Maassen 早些时候也曾表示，虽不能确定俄罗斯将采取何等做法，但可以推测此举背后的意图并非为了支持其他政党，而是损害德国民主的公信力与运作，致使德国政府面临国内政治危机与阻碍外交政策活动。 近年来网络攻击已成为主流威胁，或将导致更大规模的数据丢失与关键基础设施的破坏。现今黑客攻击目标包括德国总理府、军队、外交部、大使馆以及财政与经济部。但俄罗斯政府方面则一再否认参与此类网络攻击活动或企图影响境外其他国家选举行为。 原作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  9 月 5 日消息，澳大利亚昆士兰州议会于近期通过一项新安全法案，旨在扩大执法机构监督权限，严厉打击恐怖主义攻击事件。据悉，该安全法案授予执法机构新监督权限，允许他们通过搜查手机或智能设备追踪可疑恐怖分子或其他重要犯罪人员。 相关人员表示，澳大利亚的反恐主义法与其他立法修正案允许执法机构在恐怖事件发生期间入侵攻击者智能设备，其中包括远程植入间谍软件。不过，该立法一旦推行，将继续扩大执法机构监督权限。 据悉，虽然新法案允许澳大利亚警方搜查公民手机，寻找恐怖主义相关资料与通讯记录，但目前尚不清楚当局如何破解攻击者设定的端对端加密程序。此外，该法案还要求公民个人提供访问权限、密码与加密密钥，以便执法机构在紧急情况下可以自行查看。当局证实，该法案可能会被公民视为侵犯了他们的权利与自由，但这些信息对于发展态势的感知与制定战术计划或解决紧急情况的管理都至关重要。此外，公民不必太过担忧，因为该法规的搜索权限仅限于恐怖事件发生时期。 反对派发言人 Tim Mander 表示：“虽然我们不希望昆士兰州在该项立法中执行所谓的搜索权力，但我们不得不面对现实 ”。与此同时，澳大利亚警局局长 Mark Ryan 表示：“这个权力比以往任何时候都更加必要。因为澳大利亚在过去三年里发生了 5 起恐怖袭击事件，以及 13 起重大反恐行动。目前，恐怖主义的威胁对于我们国家与社区来说都是极其真实存在的 ”。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，加拿大埃德蒙顿警局（Edmonton Police Service，EPS）于上周扣押了一个伪造购物网站 fazny.ca，即该网站表面上是销售各 3C 产品，但却趁消费者刷卡付费时窃取信用卡资讯，再于他处进行消费。 今年 5 月该警局收到一名受害者投诉，表示他曾在 Fazny 网站进行购物，填完付款资讯后网页一直跳出错误讯息，指称交易未完成，不过没多久他就收到奇怪的帐单。随后，EPS 的网络犯罪调查部门则发现受害者的信息是在 Fazny 购物时被窃，该网站不仅利用脸书（Facebook）刊登广告，还成立了粉丝团，但网站或粉丝团上的产品照片与说明也都是从其他地方窃取而来。 近期，EPS 在取得法院命令后借由加拿大的网域名称注册机构的协助扣押了 fazny.ca 域名，并将流量导向警方控管的伺服器。主导网络犯罪调查的 Phil Hawkins 表示，扣押网域伺服器是为了辨识受害者以及预防该站进一步诈骗其他人，并鼓励其他受害者出面检举。 稿源：ithome、wosku网，封面源自网络；

据相关媒体报道，在大陆 “ 京沪干线 ” 量子保密通信骨干网达到开通条件的同时，上海交通大学教授金贤敏领导的团队日前也完成全球首个海水量子通信实验，即在国际上首次验证了水下量子通信的可行性，将量子通信运用扩大至全球。 金贤敏表示，海水能否作为量子通信通道一直都是未解之谜，虽然英美科学家做过一些理论研究，但迄今并未进行过实验探索。而此次实验他们选择光子的极化作为资讯编码载体，并通过类比证明。即使经历了海水巨大的通道损耗，极化编码的光子也只会丢失，而不会发生量子比特翻转。也就是说，只要存留下少量单光子，仍可被用于建立安全密钥。此外，虽然目前只是朝水下量子通信迈出了第一步，离实用化的水下、空海一体量子通信连线和网路还有一段距离，但实现量子通信技术上天、入地、下海的未来前景可期。 国防科技大学国家安全与军事战略研究中心王群教授在接受采访时表示，“可以肯定一旦水下量子通信实现工程化，将会彻底颠覆潜艇通信指挥乃至作战方式。在军事上除了主要用于潜艇通信外，还可以用于海底光缆通信、联合作战的空海一体通信以及蛙人特战通信和水下救援、水下作业通信等方面。” 稿源：，内容有删减；稿件以及封面源自网络。